Инженеры человеческих данных
Как специалисты по защите персональных данных переформатируют ИТ-системы своих компаний
Аудитория пользователей коммерческих организаций, чьи права в сфере персональных данных (ПД) нужно защищать, очень велика. На острие темы обработки личной информации клиентов находятся именно специалисты по защите ПД, или Data Protection Officers (DPO). Кто сейчас правит балом в сфере защиты персданных – юристы или «технари» – и как нужно продвигать автоматизацию процессов, обсудили на проведенном компанией Kept 14 сентября вебинаре Privacy in Tech практикующие эксперты из ведущих российских технологических компаний.
ЛЕГКО ЛИ БЫТЬ DPO
Нужно разделять функции юристов, организующих правовое соответствие законодательным нормам в сфере защиты персданных, айтишников, вовлеченных в инженерные проекты, и специалистов по кибербезопасности, отметила в своем выступлении Data Privacy Engineer в компании «Самокат» Елизавета Дмитриева.
Юристы взаимодействуют с субъектами ПД и выполняют классические функции DPO, а специалисты по информационной безопасности «заточены» под защиту всех значимых для бизнеса данных, в том числе персданных и коммерческой тайны. При этом ИТ-менеджмент – это отдельная специальность, подчеркнула она, поэтому
специалист по защите данных, который не понимает, как решать инженерные задачи, бывает сильно ограничен. Ему сложно менять ИТ-процессы в организации
Елизавета Дмитриева, «Самокат»:
– В компании «Самокат» эта роль называется Data Privacy Engineer, также я встречала такой термин, как «технический менеджер в области прайваси». Задача таких сотрудников – выявлять потребности в сфере защиты персданных с привлечением ИТ-ресурсов, доносить их до команды, инициировать, консультировать, запускать новые проекты.
Объем рынка, на котором работают ИТ-разработчики, специализирующиеся на обработке ПД, «совсем крохотный», обратил внимание Chief Privacy Officer в «Яндексе» Иван Черевко. По его оценке, в России этим занимаются около 30 человек. При этом каждый из них обладает релевантным опытом, что делает их по-настоящему «драгоценными сотрудниками», уверен эксперт.
– В мою команду входят техменеджеры, разработчики, отлично разбирающиеся в теме защиты данных, кто-то даже с бэкграундом юриста по ПД. Но все они занимаются юридическими вопросами, потому что это та команда, которая нужна «Яндексу» в настоящий момент развития.
Очевидно, что любой организации сейчас нужно решать проблему соответствия бизнес-процессов требованиям обработки личной информации. Это определенный уровень организационного развития, до которого доходят не все. Иван Черевко считает, что компаниям, которые доросли до этого,
уже не обойтись сотрудниками, которые разговаривают на языке регуляторики. Необходимы люди, которые общаются на языке софтверных продуктов
ПРОЧЬ РУТИНУ
Сейчас на позиции DPO в компаниях чаще становятся люди с юридическим образованием, хотя ранее там превалировали специалисты по информбезопасности, поделилась наблюдением менеджер по комплаенсу информационной безопасности и персональных данных Wildberries Евгения Перминова. По ее мнению,
DPO с бэкграундом юриста – это сейчас то, что нужно компаниям
Также есть тенденция, когда в довесок к этим функциям добавляют обязанности кибербезопасника, но эксперт считает, что нужно разделять эти направления. «Сейчас в Wildberries работает небольшая мультидисциплинарная команда, специализирующаяся на соответствии бизнес-процессов требованиям различных регуляторов», – рассказала она.
DPO, специализирующийся сугубо на юридических вопросах, – не лучшее кадровое решение для ИТ-компании, считает руководитель практики защиты персональных данных, DPO в компании Ozon Михаил Ратушный Он уверен, что
умение разбираться в технических аспектах – это приобретаемый навык
Михаил Ратушный, Ozon:
– Обычной рутиной специалиста по защите ПД – управлением согласиями, удалением данных и прочим – может заниматься кто угодно. Закон «О персональных данных» и нормативно-правовые акты похожи друг на друга как две капли воды – везде есть правовые основания, права субъектов и сроки, и даже не имея юридического образования, разобраться все-таки можно.
По его мнению,
вне зависимости, имеет DPO юридический или технический бэкграунд, для него важно разбираться в тех процессах, с которыми он работает
«Это как не обязательно быть разработчиком, чтобы понимать, как работает ИТ-система в твоей организации», – заметил Михаил Ратушный.
При этом юриспруденция дает навык общения с людьми и умение объяснять свою позицию неспециалисту. «Юрист, который умеет объяснять юридические вещи неюридическим языком, – самый классный сотрудник. Поэтому общаться с субъектами ПД, представителями госорганов, контрагентами, которые не обладают специальными знаниями, проще все-таки юристу», – подчеркнул эксперт.
ДАННЫЕ НА АВТОМАТЕ
Компания Ozon работает с 1998 года, и некоторые ее ИТ-системы уже устарели, признал Михаил Ратушный. Поэтому при внедрении решений, связанных с защитой персданных, требуется их определенная доработка, например, для функции отзыва согласия на обработку сведений.
Михаил Ратушный, Ozon:
– В большинстве случаев у нас присутствует автоматизация управления данными для категорий субъектов ПД, которые мы обрабатываем. Но есть объективно старые системы или системы-монолиты. Мы пытаемся распиливать их на более мелкие подсистемы и задавать им функциональные требования к управлению данными.
В целом, обратил внимание он,
бизнес начал понимать важность обработки персональных данных – в умах людей начала формироваться соответствующая культура
Сферу участия специалистов по защите данных в ИТ-разработке Елизавета Дмитриева разделяет на три части:
- DPO является инициатором изменений и заказчиками новых продуктов. В этой ситуации департамент обработки ПД становится в один ряд с бизнес-заказчиками.
- DPO контролирует, чтобы организация создавала продукты с учетом законодательных требований по защите данных. Здесь специалист по защите ПД участвует с момента формирования концепции, учитывает риски и должен иметь решимость заблокировать проект, если они действительно высоки.
- Департамент, курирующий обработку персданных, создает свой продукт. Например, управление удалением данных.
Елизавета Дмитриева, «Самокат»:
– Как правило, автоматизация в сфере обработки данных зарождается в момент, когда компания сталкивается с какой-то проблемой. Допустим, для ответов на запросы субъектов ПД тратится очень много человеко-часов.
Автоматизация отдельных процессов обработки данных в одних компаниях рассматривается как целый проект. В других организациях работают мультидисциплинарные, слаженные команды, которые могут в ручном режиме отвечать на запросы и реализовывать функцию приватности, резюмировала модератор мероприятия, руководитель направления приватности Kept, соучредитель Ассоциации специалистов по защите личных данных (Russian Privacy Professionals Association, RPPA) Кристина Боровикова.
Тимур Халудоров
